페이코의 서명키가 유출됐다. 페이코는 구글 플레이스토어 기준 누적 다운로드 수가 1000만이 넘는 국내 대표 간편결제 어플리케이션(앱) 중 하나다. 서명키는 앱이 변조되지 않았는지 확인하는 데 사용되는 일종의 인증서다. 유출된 서명키는 보이스피싱 앱을 통해 개인 및 기업 정보 해킹에 악용될 수 있다. 페이코는 지난 8월 서명키가 유출된 것을 인지했지만 최근까지 별다른 조처를 하지 않은 듯 비춰져 기업 이미지 타격이 불가피 할 전망이다.
"서명키 활용 악성 앱 5000개 이상"
6일 보안업계와 금융계에 따르면 보안솔루션 기업 에버스핀이 KB국민은행, 삼성카드, 삼성생명 등 페이코와 협업하는 국내 수십곳으로 금융사에 경고 공문을 보냈다. 페이코 서명키가 유출됐고, 유출된 서명키를 활용한 악성 앱이 다수 발견된 만큼 주의가 필요하다는 게 골자다. 에버스핀 관계자는 "페이코 서명키를 활용한 악성 앱이 8월 손가락에 꼽는 수준이지만 11월에는 수가 급격히 넘었다"며 "위험성을 알리기 위해 공문을 발송했다"고 말했다.
개인 서명키가 유출된 경우 폐기하고, 재발급받으면 된다. 그러나 앱 서명키는 해당업체에서 적극 대응해야 문제를 해결할 수 있다. 페이코는 8월 서명키 유출인지 이후 자체 앱 공격이 없어 해당 사실을 외부에 알리지 않은 것으로 알려졌다. 앱 서명키가 유출됐다고 해서 개인정보가 유출된 것은 아니다. 서명키를 바탕으로 악성 앱을 정상 앱으로 위장해 유포한 뒤, 특정 프로그램을 통해 개인정보를 빼내야 한다.
그렇다고 페이코가 앱 서명키 유출 인지 이후 아무것도 하지 않은 것은 아니다.
페이코 관계자는 "지난 8월 페이코 앱의 구글 서명키 유출을 인지한 직후 서비스 장애요인 및 영향도를 파악하는 과정을 거치며 서명키 변경 작업을 진행해왔고, 금주 중 신규 서명키를 활용한 앱 업데이트를 진행할 계획"이라고 말했다.
문제는 페이코가 서명키 유출을 인지한 뒤 4개월 동안 페이코 서명키를 활용한 악성 앱이 기하급수적으로 늘어났다는 점이다. 에버스핀은 8월부터 11월 말까지 제작된 악성 앱의 수가 5000여개를 넘어선 것으로 파악하고 있다. 빠른 조치가 이뤄지지 않은 영향을 받았다. 그도 그럴 것이 페이코 유출된 페이코 서명키로 인증한 앱은 보안 검사를 피할 수 있다. 페이코가 만든 것으로 인식되기 때문이다. 보안 앱은 서명키가 같으면 추가 검사를 하지 않는 게 일반적이다. 악성 앱이 정상 앱으로 둔갑해 스미싱, 파밍, 보이스피싱 등 다양한 형태로 악용될 수 있다는 얘기다. 악성 앱의 종류에 따라 스마트폰에 저장된 모든 개인 정보가 빠져나가는 것이 가능하다.
페이코 서명키를 바탕으로 만들어진 악성 앱은 구글과 애플의 정식 앱스토어에서 유통되지는 않았다. 대신 문자나 카카오톡 메시지, 이메일 등을 통해 이용자가 클릭하면 스마트폰에 새로운 앱이 설치되는 파일 형태로 유포된 것으로 알려졌다. 페이코와 NHN 등에서 안전하고 정상적으로 만들어진 앱이란 점에서 이용자가 무심코 해당 설치 파일을 열어 볼 수 있도록 하는 형태다.
페이코 서명키는 다른 앱 서명에서도 사용되는 보안 취약점도 발견됐다. 모회사인 NHN의 계열사에서 서비스 중인 '한게임 OTP' '운수도원 투데이' '티켓링크'를 비롯한 18개 앱에서 같은 서명키를 쓰고 있었다.
에버스핀은 페이코 서명키의 유출 경로는 구글 플레이스토어 계정 유출, 관리자 PC의 해킹, 기타 관리자 부주의 등으로 추정하고 있다.
보안업계 한 관계자는 "당분간 페이코를 비롯해 NHN 일부 계열사 서비스 관련 내용의 프로그램 설치는 주의할 필요가 있다"며 "정식 앱스토어 외에 비정상적 경로를 통한 프로그램 설치는 하지 않는 것이 안전하다"고 말했다.
"악성 앱 무효화 방안 논의, 해결책 적용 계획"
페이코는 현재 서명키 유출과 관련해 접수된 피해사례는 없다고 밝혔다. 빠른 시일 내 대응책도 제시하겠다고 강조했다.
페이코는 "구글 서명키는 앱 개발사들이 플레이스토어를 통해 앱을 등록·배포할 때 특정 개발사 앱이라는 점을 증명하는 역할을 하는 도구로, 기존 페이코 고객의 개인정보와는 상관이 없고 현재 페이코 쪽으로 접수된 피해 사례가 확인된 바가 없다"고 전했다. 이어 "스토어를 통해 정상적으로 페이코 앱을 다운받는 경우에는 문제가 없다"며 "현재 기존 서명키로 제작된 악성 앱의 작동을 무효화할 수 있는 방안을 보안 협력업체와 논의, 이른 시일 내에 해결책을 마련해 적용할 계획"이라고 밝혔다.
김세형 기자 fax123@sportschosun.com